Automatizando o bloqueio de sites no Brasil pelo DNS usando a API da anablock.net.br (BIND9+RPZ)

Neste tutorial, abordaremos a configuração de uma Zona de Política de Resposta DNS (RPZ) com o objetivo de simplificar a resolução de nomes alterados, especialmente quando lidamos com escalas substanciais. Nosso objetivo é bloquear milhares de domínios de forma eficiente, minimizando o consumo de recursos de hardware em nosso servidor.

Não abordarei a instalação do BIND neste momento, pois já disponibilizamos um tutorial completo em nosso blog, que pode ser acessado através do seguinte link:
Servidor DNS Bind9 (Debian 12).

Para configurar sempre que um domínio bloqueado for resolvido pelo seu DNS em um IP da sua rede, você precisará criar um subdomínio no seu servidor DNS autoritativo. No arquivo de configuração dos seus hosts irei criar um subdomínio chamado bloqueadonobrasil, vejamos um exemplo:

Exemplo “bloqueadonobrasil“, ou então apontando para os IPs de localhost mesmo 127.0.0.1 e ::1 onde neste caso se o usuário acessar o domínio bloqueado simplesmente não irá abrir nada.

DNS PRIMÁRIO (MASTER)

Agora crie uma zona chamada rpz.zone em seu /etc/bind/named.conf.local. em allow-transfer e also-notify informe os IPs de seus servidores Slaves.

Vamos criar o diretório “rpz” e os arquivos de hosts que serão bloqueados.

Criarei um atalho em /etc/bind para facilitar o acesso da pastar também.

Entendendo como os domínios são bloqueados. A seguir, apresentamos um exemplo do arquivo que servirá como base para o nosso próximo script a seguir:
Nome do arquivo: /var/cache/bind/rpz/db.rpz.zone.hosts

Sendo que para cada domínio que será bloqueado, o mesmo será adicionado:

Assim qualquer subdomínio (*).domino.com seja traduzido sempre irá ser apontado para seu IP ou localhost.

Antes de criar o script, ajuste o response-policy dentro do seu /etc/bind/named.conf.options

Deve ficar dentro de options { … } adcione:

Ou se você irá apontar para localhost use:

Script AnaBlock

Para simplificar nossa tarefa, criaremos um script que utiliza o site https://anablock.net.br, uma plataforma desenvolvida por Patrick Brandão da Nuva. Ele projetou uma página abrangente que oferece todas as informações necessárias para acompanhar os bloqueios de conteúdo regulados pela Anatel e pelas autoridades da República Federativa do Brasil.

Crie um diretório onde iremos salvar nosso script:

Subi meu script no Github, mas iremos entrar na nossa pasta /etc/bind/scripts e baixar ele direto para nosso servidor.

Esse scrip ira verificar verificar qual sua versão e sempre que existir uma nova ou se for sua primeira vez ele irá baixar a lista de todos os domínios e cria o arquivo db.rpz.zone.hosts com a lista completa de siste que serão bloqueados pelo seu DNS.

Script foi feito em python3 instale os pacotes necessários para executa-lo.

Execute o script:

Seu diretório terá os seguintes arquivos

Se você executar o script novamente nada irá acontecer até que uma nova versão seja lancada.

Para que tenhamos nossa lista sempre atualizada, colocamos o script para ser executado todos os dias a meia noite.

Testes

Agora faça um teste para ver o que seu servidor ira traduzir corretamente:

DNS SECUNDÁRIO’s (SLAVE’s)

Agora crie uma entrada zona chamada rpz.zone em seu /etc/bind/named.conf.local. em masters e also-notify informe os IPs de seus servidores Master.

Configure o response-policy

Deve ficar dentro de options { … } adcione:

Crie o diretório, de permissão, e reinicie o bind.

Arquivo db.rpz.zone.hosts será criado dentro de /var/cache/bind/rpz/

Configurando uma Página de Bloqueio em Seu Servidor Web

Vou deixar exemplo com fazer isso em um Apache.Crie o diretório onde iremos criar nossa página:

Apache

Crie o arquivo de configuração do apache.

Habilite a configuração e reinicie o Apache

Instale o certbot para gerar um certificado ssl para o domínio

Execute:

Selecione seu domínio, e em sguinda reponda com No redirect

Agora vou deixar um exemplo de página para ajudar você:

Vamos excluir o diretório que foi criado, já que estou prestes a baixar minha página, que, ao ser descompactada, conterá o mesmo nome.

Gostou? Se quiser apoiar o blog e fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Rudimar Remontti

Trabalho atualmente como Gerente de Redes em um Provedor de Internet no Rio Grande do Sul.

Você pode gostar...

9 Resultados

  1. Anderson disse:

    Olá,
    No caso aqui coloco os IP’s do NS1 mesmo ou tenho que montar outro servidor DNS?
    //…
    bloqueadonobrasil A x.xx.xxx.x
    AAAA xxxx:xxxx:xxxx::y
    //…

    Agradeço a atenção.

  2. Muito massa esse tutorial, não pesquisei sobre, tem a possibilidade de fazer funcionar esse script no UNBOUND ?

  3. Kendry Leite Gonçalves disse:

    Faz o modelo via unbound se for possível

  4. Paulo Jr Andrade disse:

    Pra quem quiser usar no unbound

    https://pastebin.com/raw/UPQNRJVy

    • Paulo ficou excelente mas fazer um restart do serviço causa a perda do cache do unbound. No unbound novo, presente no Debian 12 e backports do Debian 11 já temos o comando: unbound-control reload_keep_cache
      Dessa forma podemos recarregar o rpz sem matar o cache. Consegues fazer uma versão com ele só que precisaria testar a versão do unbound antes pelo menos a versão 1.17.1 eu sei que já tem essa opção.

  5. Lairon disse:

    Simplesmente perfeito mano, parabéns mesmo, tenho certeza que ajudará muitos no nosso país!

  6. Para quem me pediu ex do NGINX, segue:

    • Hiran disse:

      Aqui no nginx colocando meu dominio a pagina carrega, ao colocar uma pagina bloqueada da erro 404.
      Será que faltou algo na instalação ou config do nginx?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *